<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <meta http-equiv="X-UA-Compatible" content="ie=edge">
  <title>通信类和安全类</title>
</head>
<body>
  什么是同源策略
    协议，域名，端口均相同为同源，不同源即为跨域
  前后端如何通讯
    ajax只支持同源通讯，
    websocket 不受同源策略限制
    cors 支持同源通讯，也支持跨域通讯
  如何创建ajax
  跨域通讯的几种方式
    jsonp
    hash
    postMessage（html5）
    websocket
    cors
      请求方法是PUT或DELETE，Content-Type字段类型是application/json
      会在正式通信前，增加一次OPTIONS查询请求，预检请求

安全类：
  csrf
    基本概念和缩写、攻击原理
      跨站请求伪造，根据用户在一个已经登录的A网站，然后又在B网站被引诱点击，跳转到A网站，
      执行A网站有漏洞的接口，（因为在A网站是已经登录的状态，所以请求时自动携带已经登陆成功的session_id，即cookie）

    防御措施
      增加token验证（token存在本地，不会被请求自动携带）
      做refer验证（验证请求的页面）
      将token隐藏在请求头header中
  xss
    跨域脚本攻击
    对前端用户输入的内容都进行字符串化操作（stringify）、后台接口进行配合校验


  push() 在数组的末尾添加一个或多个元素 返回数组新长度

  pop() 移除数组的最后一项，返回移除的项

  unshift() 在数组的第一项前面添加一个或多个元素，返回数组的长度
  
  shift() 移除数组的第一项，返回移除项
</body>
</html>